Πρόστιμο 475.000 ευρώ στην Booking.com για καθυστέρηση αναφοράς παραβίασης προσωπικών δεδομένων 4000 καταναλωτών

Δεν είναι μόνο οι αθέμιτες εμπορικές πρακτικές της πλατφόρμας κράτησης ξενοδοχείων Booking.com, για τις οποίες η ολλανδική εταιρεία έχει τιμωρηθεί με μεγάλα πρόστιμα. Τον Απρίλιο του 2021, η Ολλανδική Αρχή Προστασίας Δεδομένων της επέβαλε πρόστιμο 475.000 ευρώ με την αιτιολογία ότι η εταιρεία καθυστέρησε να αναφέρει στην Αρχή παραβίαση προσωπικών δεδομένων που αφορούσε πρόσβαση από εγκληματίες σε προσωπικά δεδομένα πάνω από 4000 πελατών ενώ υπεκλάπησαν και στοιχεία πιστωτικών καρτών από σχεδόν 300 άτομα.

Συγκεκριμένα σε τηλεφωνική απάτη σε 40 ξενοδοχεία στα Ηνωμένα Αραβικά Εμιράτα τον Δεκέμβριο του 2018, επιτήδειοι έπεισαν το προσωπικό των ξενοδοχείων να αποκαλύψουν στοιχεία σύνδεσης των λογαριασμών των πελατών τους στο booking.com. Mε τον τρόπο αυτό οι δράστες απόκτησαν πρόσβαση στα δεδομένα 4.109 ανθρώπων που είχαν κάνει κράτηση σε ξενοδοχείο στα Η.Α.Ε. Τα δεδομένα αυτά περιλάμβαναν τα ονόματά τους, διευθύνσεις και τηλεφωνικούς αριθμούς, όπως επίσης και λεπτομέρειες της κράτησής τους.

Οι δράστες μπόρεσαν μάλιστα να αποκτήσουν πρόσβαση και σε στοιχεία πιστωτικών καρτών 283 προσώπων. Σε 97 περιπτώσεις, διέρρευσε και ο κωδικός ασφαλείας της πιστωτικής κάρτας . Οι επιτήδειοι επίσης προσπάθησαν να αποσπάσουν τα στοιχεία πιστωτικών καρτών και από άλλα θύματα, παριστάνοντας το προσωπικό της Βooking.com, σε emails και τηλεφωνικές κλήσεις.

Είναι χαρακτηριστικό ότι  η αναπληρώτρια πρόεδρος της Ολλανδικής Αρχής Προστασίας Δεδομένων, Monique Verdier, ανέφερε: «Οι πελάτες της Booking.com διέτρεχαν τον κίνδυνο να πέσουν θύματα σοβαρής κλοπής», και ότι «ακόμη κι αν οι εγκληματίες δεν λάμβαναν στοιχεία πιστωτικής κάρτας αλλά μόνο το όνομα , τα στοιχεία επικοινωνίας και τα στοιχεία κράτησης καθώς αυτά τα στοιχεία θα μπορούσαν να χρησιμοποιηθούν από απατεώνες για αποστολές μηνυμάτων  «ηλεκτρονικού ψαρέματος».

Η Booking.com ενημερώθηκε για την παραβίαση δεδομένων στις 13 Ιανουαρίου 2019, αλλά δεν την ανέφερε στην αρμόδια Αρχή μέχρι τις 7 Φεβρουαρίου, που είναι 22 ημέρες άρα πολύ αργά: Οι παραβιάσεις δεδομένων πρέπει να αναφέρονται εντός 72 ωρών. Στις 4 Φεβρουαρίου 2019 η Booking.com ενημέρωσε τους πελάτες που επηρεάστηκαν για την παραβίαση. Η εταιρεία έλαβε επίσης άλλα μέτρα για τον περιορισμό της ζημίας, όπως την προσφορά αποζημίωσης για τυχόν ζημίες.

«Πρόκειται για σοβαρή παραβίαση», επισήμανε η κα. Verdier. «Δυστυχώς, μια παραβίαση δεδομένων μπορεί να συμβεί οπουδήποτε, ακόμα κι αν έχουν ληφθεί ικανοποιητικά προληπτικά μέτρα. Αλλά για να αποτραπεί η ζημιά στους πελάτες καθώς και μελλοντικές επιθέσεις, πρέπει να να αναφέρεται έγκαιρα μια παραβίαση.»

Σύμφωνα με την κα. Verdier, «μια εταιρεία αυτού του μεγέθους, η οποία αποθηκεύει πολύτιμα προσωπικά δεδομένα εκατομμυρίων πελατών στα συστήματά της, έχει τεράστια ευθύνη. Οι πελάτες εμπιστεύονται τα προσωπικά τους δεδομένα στην Booking.com. Και η εταιρεία πρέπει να κάνει ό,τι μπορεί για να προστατεύσει αυτά τα δεδομένα σωστά. Αυτό σημαίνει όχι μόνο διασφάλιση για την αποτροπή παραβιάσεων, αλλά και λήψη ταχείας δράσης εάν συμβεί το χειρότερο».

Σύμφωνα με την ιστοσελίδα politico.eu, εκπρόσωπος της Booking.com ανέφερε για το θέμα: «Το πρόστιμο της ολλανδικής DPA [αρχή προστασίας δεδομένων] σχετίζεται συγκεκριμένα με την καθυστερημένη ειδοποίηση σε αυτούς για αυτό το περιστατικό και δεν σχετίζεται με τις πρακτικές ασφαλείας της Booking.com, ούτε με τον συνολικό χειρισμό του εν λόγω περιστατικού».  

Πάντως, όπως αναφέρει η Ολλανδική Αρχή Προστασίας Δεδομένων η Booking.com δεν υπέβαλε ένσταση ούτε και αίτηση αναθεώρησης της απόφασης επιβολής του προστίμου.

Δείτε τη σχετική ανακοίνωση της Ολλανδικής Αρχής Προστασίας Δεδομένων εδώ

Διαβάστε ακόμα: Έρευνα κατά της Booking.com για αθέμιτους όρους συναλλαγών και αθέμιτες εμπορικές πολιτικές στην Ισπανία

Σχόλια